デジタル証明書

中間証明書はなぜ必要か?証明機関(認証局)の階層化の理由

証明機関

証明機関は階層構造を取ることができます。

ツリー構造的に管理ができ、整理がしやすいためです。フォルダと同じ原理です。

3 階層や 4 階層のパターンが多いですが、2 階層のパターンは商用ではあまり見られません

なぜでしょうか?

それは運用とセキュリティの観点からです。

実際にCAを構築する際の設計をしてみましょう。

階層構造の理由

顧客への証明書の発行は速やかに実施されるべきです。そのため、発行手続きもある程度簡素化しオンラインで発行ができるものがよいでしょう

しかしオンラインであるがゆえに、脆弱性を突かれ、証明書の利用が適正に行われない可能性もあります。その際にはその証明書を発行した CA を無効化する必要があります。

このとき、2 階層だった場合、「証明書を発行した上位CAの証明書=ルート証明書を無効化」することになりますが、それを実行した場合、当然発行した全ての証明書が無効になります。

この事態を避けるため、間に中間認証局を挟み、3 階層にします。

ルート認証局はオフラインで構築しておき、別途構築した複数の中間認証局へ、それぞれ中間証明書を発行します。

これでオンラインの中間認証局が 1 つ攻撃を受けた際、影響を抑えることができます。

デジタル証明書についての基礎知識については以下ページも併せてご参照下さい。

【図解】よく分かるデジタル証明書(SSL証明書)の仕組み 〜https通信フロー,発行手順,CSR,自己署名(オレオレ)証明書,ルート証明書,中間証明書の必要性や扱いについて〜
前提知識 デジタル証明書 (電子証明書) の理解のためにはまず RSA 公開鍵・...

 

コメント

タイトルとURLをコピーしました